Schon als Kind lernen wir – ob bewusst oder unbewusst – die Körpersprache und Intonation anderer Menschen zu analysieren. Untersuchungen zeigen, dass 60 Prozent unserer Aufmerksamkeit auf der Körpersprache und nicht auf der Stimme des Gegenübers liegt. Wir nutzen diese Informationen, um Rückschlüsse zu ziehen, wie vertrauensvoll wir diese Person finden. Diese Eindrücke sind entscheidend, damit wir keinen Betrügern oder Gaunern, die uns manipulieren möchten, zum Opfer zu fallen. Wir begegnen Betrug und Schwindel aber nicht nur im wirklichen Leben – denn in jüngster Zeit haben eine Reihe virtueller Täuschungen im Internet signifikant zugenommen. Aus diesem Grund müssen wir neue Ansätze zur Bewertung möglicher Gefahren entwickeln. In E-Mails oder sozialen Netzwerken gibt es keine Körpersprache oder Intonation, wir werden meist nur anhand von Texten und Grafiken geleitet. Bedeutet dies, dass wir uns nicht mehr länger auf unser Bauchgefühl verlassen können?
Diese pauschale Aussage würde der Problematik nicht gerecht werden. Das Internet bietet viele Aspekte, die interpretiert werden können und die das vermeintlich mangelnde Bauchgefühl ausgleichen. Dazu müssen wir allerdings lernen, worauf wir überhaupt zu achten haben. Internetkriminelle und Betrüger werden wohl kaum das Rad neu erfinden, so dass Menschen, die einmal Erfahrung mit Betrug oder ähnlichem gemacht haben, daraus lernen und diese Information in der Zukunft für sich nutzen können. Dieser Artikel konzentriert sich daher auf einige typische Beispiele und erklärt, wie man sich vor Fallen im Internet schützen kann.
Klassische E-Mail-Gefahren
Als neuer Internetnutzer werden Sie sich wahrscheinlich als erstes einen E-Mail-Account einrichten. Eine gültige E-Mail-Adresse benötigen Sie nicht nur für den Kontakt mit Freunden und Familie, sondern auch, wenn Sie Waren online kaufen oder sich für Foren und soziale Netzwerke anmelden möchten.
Leider kann Ihre E-Mail-Adresse genauso mit unerwünschten Nachrichten (Spam-E-Mails) überfüllt werden, wie Ihr Hausbriefkasten mit Werbung, die Sie niemals bestellt haben. Bis zu 89 Prozent aller gesendeten E-Mails sind so genannte Spam-Nachrichten: Nachrichten, die Sie nie angefordert haben offerieren Ihnen billige Kredite, Viagra zu Sonderpreisen oder eine breite Palette an Produkten und Dienstleistungen. Diese Angebote sind keineswegs seriös, sie enthalten häufig Links zu Webseiten, die mit Viren, Trojanern oder anderen bösartigen Programmen infiziert sind. Diese Nachrichten sollten ungelesen gelöscht werden, damit der eigene Computer keinen Schaden nimmt – das einzige, was Ihnen verloren geht, ist die Zeit, die Sie benötigen, um die Spams zu löschen.
Dies klingt jedoch einfacher als es tatsächlich ist. Denn manchmal sind die Spam-Angebote einfach sehr verlockend. Internetkriminelle sind geschickt und insbesondere vor und während großer Feiertage wie Weihnachten, Ostern und natürlich dem Valentinstag aktiv. Vor allem letzterer ist eine goldene Gelegenheit für Cyberkriminelle, da an diesem Tag traditionell Gefühle ohne Peinlichkeit offenbart werden können, selbst wenn es sich dabei "nur" um eine entfernte Bekanntschaft handelt. Würden Sie also eine E-Mail am Valentinstag mit dem Betreff "Ich liebe dich" öffnen?
Internetbetrüger missbrauchen jedoch nicht nur Feiertage und aktuelle Themen. Das Internet wird häufig als ultimatives Unterhaltungsmedium beschrieben; es enthält viele Seiten, die sich ausschließlich kurzweiligen Artikeln, Bildern und Videos widmen. Wir alle mögen etwas Zerstreuung, damit spielen Cyberkriminelle, indem sie Nachrichten mit anziehenden Inhalten wie "Teste dieses lustige Video!" oder "Witziges Foto!" senden. Doch sollte man der Versuchung, die Dateianhänge solcher Nachrichten zu öffnen, widerstehen: Wahrscheinlich 99,99 Prozent davon enthalten Programme, die die gespeicherten Daten auf Ihrem Computer beschädigen können, Ihre Online-Aktivitäten ausspionieren beziehungsweise Sie auf irgendeine andere Weise betrügen wollen. Meine Kollegin Tatyana Kulikova belegt in ihrem Artikel "Spam evolution: June 2009", dass 0,31 Prozent aller im russischen Internet gesendeten E-Mails bösartige Anhänge beinhalten. Dies scheint zunächst kein besonders hoher Prozentsatz zu sein, doch angesichts der Tatsache, dass 500.000 Arten von Spam jeden Tag versendet werden, kann man von einem sehr hohen Anteil von Spam im E-Mail-Verkehr ausgehen, vor allem, wenn man berücksichtigt, dass jede einzelne Spam-Nachricht an Millionen von E-Mail-Adressen gesendet wird.
Phishing
Zu den wahrscheinlich bekanntesten Betrugsmethoden zählt das so genannte Phishing. Man erhält eine E-Mail mit der Aufforderung, eine Webseite zu besuchen und persönliche Informationen einzugeben – dabei kann es sich um ein Passwort, eine Bankkontonummer etc. handeln. Die E-Mail wirkt als käme sie von einer Bank, eBay oder einem Online-Bezahlsystem wie PayPal. Doch völlig ungeachtet, wie überzeugend die Nachricht erscheinen mag, es handelt sich um eine Fälschung. Wird der Link angeklickt und die gewünschten Informationen eingeben, können sich Internetkriminelle Zugriff auf Ihre Daten verschaffen und diese für ihre eigenen Zwecke missbrauchen.
Zahlreiche Banken haben nun zusätzliche Sicherheitsmaßnahmen eingeführt, um Phishing-Angriffe zu bekämpfen, was dazu führte, dass das Aufkommen an Phishing-E-Mails, die auf die am weitesten verbreiteten Banken abzielen, inzwischen rückläufig ist. Jedoch bedeutet das nicht, dass diese Betrugsform nicht mehr genutzt wird – sie wurde einfach modifiziert und den veränderten Zeiten angepasst.
Phishing-E-Mails sind ein internationales Phänomen: Ein Basistext wird in eine Reihe von Sprachen übersetzt und eine E-Mail entworfen, um das Erscheinungsbild und das Layout einer bekannten Bank oder Finanzinstitution zu imitieren. Die meisten Bemühungen konzentrieren sich auf das Design der E-Mail, wobei die verwendeten Logos und Farben häufig kaum von einer echten Mitteilung zu unterscheiden sind. Dagegen ist der Text höchstwahrscheinlich mit Rechtschreib- bzw. Grammatikfehlern durchsetzt: ein absolutes Warnzeichen. Ferner sind E-Mails, die mit "Sehr geehrter Kunde" statt mit Ihrem tatsächlichen Namen beginnen, ein starkes Indiz für einen Phishing-Angriff; in der heutigen Zeit, in der sogar Newsletter personalisiert werden können, ist es in einer echten Mitteilung unwahrscheinlich, dass Ihr Name nicht verwendet wird. Darüber hinaus erfragen seriöse Banken niemals PIN- und TAN-Nummern oder andere sensible Informationen – und wenn doch, sicher nicht per E-Mail.
Wie oben bereits erwähnt, können nicht nur Bankkunden Schaden durch Phishing-Angriffe erleiden. In jüngster Zeit sind vermehrt Phishing-E-Mails im Umlauf, mit dem Ziel, Kontodaten für Online-Zahlungssysteme wie PayPal oder Auktionsseiten wie eBay abzugreifen. Phishing-Mails machen 0,94 Prozent aller Spam-Mitteilungen aus, und unglaubliche 60 Prozent dieser Nachrichten zielen auf PayPal ab. Phishing-E-Mails dieser Art drohen häufig mit der Schließung Ihres Kontos, weil es angeblich für eine Weile nicht genutzt wurde. Um Ihr Konto zu behalten, werden Sie dazu aufgefordert, sich einzuloggen, und natürlich wird in der E-Mail gleich ein bequemer Link auf die entsprechende Webseite angeboten. Sobald Sie diesen Link anklicken, öffnet sich eine Seite, die wie die Originalseite aussieht, auf der Sie aufgefordert werden, den Usernamen sowie das Passwort einzugeben. Obwohl die Webseite scheinbar wie das Original aussieht, handelt es sich um eine Fälschung. Daher sollte man niemals Links in E-Mails verwenden, die auf eine Seite führen, auf der man aufgefordert wird, persönliche Angaben einzugeben. Verwenden Sie Bookmarks Ihres Browsers oder geben Sie die Adresse in die Adresszeile des Browsers direkt ein. Selbst wenn der Link seriös erscheint, kann per JavaScript im Hintergrund eine komplett andere als die angezeigte Adresse geöffnet werden.
Abb.: 1: Sogar besser als das Original? Eine eBay-Phishing-Seite
Sollten Sie sich nicht zu 100 Prozent sicher sein, ob eine E-Mail gültig ist oder nicht, sollten Sie das fragliche Unternehmen direkt anrufen oder eine E-Mail mit der Frage nach der Authentizität der fraglichen E-Mail senden. Beim E-Mail-Kontakt mit dem Unternehmen, sollten Sie wie folgt vorgehen: Erst die Kontaktadresse auf der Webseite des Unternehmens prüfen und diese dann verwenden, niemals auf eine fragwürdige E-Mail des Unternehmens direkt antworten. Dies gewährleistet, dass die Nachfrage tatsächlich zu der Firma und nicht zu einer ungültigen Absenderadresse gesendet wird, die von Betrügern und Spammern genutzt wird.
Wer möchte schon zum Geldwäscher werden?
Aufgrund der aktuellen Wirtschaftslage sind viele Leute gezwungen, sich einen neuen Arbeitsplatz zu suchen – Meldungen über freie Stellen sind daher jederzeit willkommen. Nehmen wir an, Sie erhalten per E-Mail ein solches Stellenangebot, in dem Ihnen ein gutes Einkommen für einen Job versprochen wird, bei dem Sie von zuhause aus arbeiten können und der für Sie nur einen minimalen Zeit- und Arbeitsaufwand bedeutet. Auch wenn Sie bereits eine gute Stelle haben, so ist die Vorstellung, jeden Monat 1.500 bis 2.000 Euro zusätzlich zu verdienen, doch äußerst reizvoll. Was man dafür tun muss? Lediglich Geld von einem Konto A in Empfang nehmen und dieses – abzüglich eines bestimmten Prozentsatzes, den Sie als Provision einbehalten dürfen – über das Bargeldtransfersystem Western Union auf ein Konto B überweisen.
Leider entspricht gewöhnlich nichts, was so verlockend klingt, tatsächlich der Wahrheit. Die Geldbeträge, die Sie auf ein anderes Konto transferieren sollen, stammen von Phishing-Opfern oder aus anderen Internetbetrügereien. Sie sollen bei diesen "Geschäften" sicherstellen, dass das Geld über einen verschachtelten Weg auf den Konten der Betrüger und Internetkriminellen landet. Während auf diese Weise das Aufspüren der Betrüger ungemein erschwert wird, ist die von Ihnen getätigte Transaktion jedoch offenkundig. Durch das Durchführen derartiger Transaktionen werden Sie zu einem so genannten "Money Mule" und Sie machen sich der Geldwäsche bzw. der Beihilfe oder der Begünstigung krimineller Aktivitäten schuldig. Werden Sie erwischt, müssen Sie mit einer empfindlichen Geldstrafe rechnen und sind anschließend möglicherweise sogar vorbestraft. Auch hier empfiehlt es sich wieder, solche E-Mails einfach zu löschen, ganz egal, wie verlockend das Angebot auch scheinen mag.
Scareware
Stellen Sie sich folgendes vor: Sie suchen auf diversen Webseiten nach einem neuen Desktop-Hintergrund. Plötzlich öffnet sich eine Mitteilung, dass Ihr Rechner mit 527 Trojanern, Viren und Würmern infiziert ist, was Ihnen seltsam erscheint, da Sie doch eine Sicherheitssoftware auf Ihrem Computer installiert haben und diese keinerlei Infektionen oder Bedrohungen gemeldet hat. Sollte sie vielleicht nicht richtig funktionieren? Oder etwas übersehen haben?
Nachdem sich der erste Schreck gelegt hat, sehen Sie sich die Meldung genauer an: Ihnen wird mitgeteilt, dass Sie eine neue Antiviren-Software downloaden können, mit der sich das Problem beheben lässt. Es kommt noch besser: Diese Software gibt es gratis! Voller Erleichterung nutzen Sie die Gelegenheit, laden das Programm auf Ihren Rechner und installieren es. Sie führen manuell einen Virenscan aus, nur um festzustellen, dass weitere Infektionen gefunden wurden, worauf sich nun eine ganz andere Meldung öffnet: Die gefundenen Schadprogramme können nur mittels der Vollversion des Produkts entfernt werden, die Sie jedoch käuflich erwerben müssen. Mit einem schnellen Blick auf die Website stellen Sie fest, dass der Preis dafür zwischen 30 und 80 Euro liegt. Da die ursprünglich installierte Sicherheitssoftware Sie anscheinend im Stich gelassen hat, setzen Sie Ihre Hoffnung auf die soeben entdeckte "Wunderwaffe", kaufen sie, klicken auf "Desinfizieren" und sämtliche Bedrohungen scheinen in Sekundenschnelle beseitigt worden zu sein… oder nicht?
Bei der beschriebenen Vorgehensweise handelt es sich um eine inzwischen sehr gängige Betrugsmethode, die auf die Angst des Benutzers abzielt, sein Rechner könnte verseucht sein. Die so genannten Scareware-Programme haben unterschiedliche Ansatzpunkte. Die am meisten verbreitete Methode besteht darin, dass sich ein Popup-Fenster öffnet, während Sie im Internet surfen, und Ihnen mitgeteilt wird, dass derzeit ein Scan Ihrer Festplatte ausgeführt wird. Danach werden Ihnen zahlreiche, willkürlich ausgewählte Malware-Infektionen angezeigt. Ein etwas weniger bekannter Trick ist ein so genannter Drive-by-Download: Durch Aufrufen einer infizierten Website laden Sie ein unerwünschtes Schadprogramm auf Ihren Computer. Im Falle von Scareware meldet die Software Ihnen immer wieder, Ihr Rechner sei infiziert, wobei sogar Ihr Hintergrundbild dahingehend geändert werden kann, dass Sie permanent an die angeblichen Infektionen erinnert werden (die ja in Wirklichkeit ja nicht existieren). Das Wiederherstellen des ursprünglichen Hintergrundbilds stellt eine beträchtliche Herausforderung dar, weil die Option dazu aus dem Einstellungsmenü entfernt wurde. Die anfängliche "Wunderwaffe" erweist sich demnach als tückische Cybercrime-Falle.
Abb.: 2: Scareware
Scareware biete Vorteile für Internetkriminelle, die mit dem Verkauf von Lizenzen für die gefälschten Sicherheitsprogramme Geld verdienen. Ferner enthalten solche gefälschten Programme häufig echte Schadsoftware, mit der sich Online-Betrüger Zugriff auf Computer verschaffen, um zum Beispiel persönlichen Daten zu stehlen. Anschließend werden diese Daten an den Betroffenen zurückverkauft oder der infizierte Computer in einen Zombierechner verwandelt, von dem aus Unmengen an Spam-Nachrichten versendet werden. Letzteres scheint zwar nicht besonders lukrativ, aber Spammer würden anderenfalls gutes Geld für Kauf oder Miete solcher Geräte bezahlen müssen, um ihre Nachrichten in großem Stil weiterzuverbreiten – es handelt sich also nur um eine weitere Option, sich in der Welt der Cyberkriminalität illegal Geld zu beschaffen.
Scareware verdient ihren Namen völlig zu Recht. Der betriebene Aufwand, um erstens sicherzustellen, dass die Warnmeldungen wirklich überzeugend klingen und zweitens, dass die Scareware-Programme an sich authentisch wirken, ist beträchtlich. Zudem haben die Programme häufig ähnliche Namen wie legitime Anwendungen. Dies trägt dazu bei, dem eigentlichen Betrug zunächst einen Anstrich von Seriosität zu verleihen, durch den sich selbst so mancher erfahrene Internetnutzer austricksen lässt. Wie soll man sich also richtig verhalten? Sorgen Sie dafür, dass Ihr Rechner durch eine qualitativ hochwertige Antiviren-Lösung geschützt ist. Erschrecken Sie nicht, wenn sich irgendwann Mitteilungen wie die oben beschriebene öffnen, und kaufen Sie die angebotene Software unter keinen Umständen, sondern führen Sie mit Ihrem vorhandenen Sicherheitsprogramm einen vollständigen Systemscan durch.
Käufer aufgepasst: die Gefahr versteckter Bestellungen
Heutzutage sind Freeware-Programme – also Software, die kostenlos herunter geladen werden kann – für jeden nur erdenklichen Zweck erhältlich. Für jeden ist etwas dabei – ob Spiele, Mediaplayer oder Instant Messaging Clients etc. Freeware wird auf zahlreichen Websites angeboten. Nehmen wir einmal an, Sie suchen nach einer neuen Softwarelösung für Ihr Büro, zum Beispiel nach einem Datenverarbeitungs- oder Tabellenkalkulationsprogramm. Sie geben den entsprechenden Suchbegriff ein und Ihre Suchmaschine zeigt Ihnen riesige Auswahlmöglichkeiten an. Gleich das erste Angebot, auf der alle von Ihnen benötigten Dateien erhältlich sind, klingt vielversprechend. Da die Webseite seriös wirkt, machen Sie sich keine weiteren Gedanken, sondern klicken das gewünschte Produkt an. Nun allerdings werden Sie aufgefordert, Namen, Postadresse und eine gültige E-Mail-Adresse einzugeben, bevor der Download gestartet wird. Dies kommt Ihnen zwar ein wenig ungewöhnlich vor, aber andererseits haben Sie schon von Download-Portalen gehört, bei denen eine Registrierung verlangt wird, bevor man etwas herunterladen kann. Leicht irritiert geben Sie die gewünschten Daten in die entsprechenden Felder ein. Zügig aktivieren Sie die Checkbox, mit der Sie in die allgemeinen Geschäftsbedingungen einwilligen, ohne sich damit lange aufzuhalten, diese auch wirklich durchzulesen, denn schließlich handelt es sich ja doch immer nur um dieselben Standardformulierungen. Nur einen Moment später können Sie das benötigte Programm erfreulicherweise downloaden.
Kurz danach erleben Sie jedoch eine böse Überraschung in Form einer E-Mail, in der Sie aufgefordert werden, 96 Euro für den Download zu überweisen. Durch Ihre Einwilligung in die allgemeinen Geschäftsbedingungen haben Sie nämlich gleich einen zweijährigen Support mitbestellt. Zahlen Sie nicht, werden gerichtliche Schritte gegen Sie eingeleitet.
Schätzungen zufolge kommen 10 bis 20 Prozent der Opfer dieser Zahlungsaufforderung nach. Besonders in Deutschland ist diese Betrugsmethode sehr verbreitet.
Trotzdem sollten Sie sich durch derartige Bedrohungen nicht einschüchtern lassen, auch wenn Sie sich sehr wohl bewusst sind, dass Sie die allgemeinen Geschäftsbedingungen nicht gelesen haben (vielleicht weil Sie festgestellt haben, dass Sie kaum eine Chance hatten, diese tatsächlich zu verstehen, oder weil Sie bisher nie von negativen Folgen gehört haben). Stellen Sie bei Erhalt einer derartigen E-Mail ein paar Nachforschungen an: Versuchen Sie, im Internet ähnliche Fälle zu finden, oder schalten Sie Ihren Anwalt ein. Es ist wahrscheinlich, dass die Drohung entweder rechtsunwirksam ist oder dass es bei einer Drohung bleibt, da sich Internetkriminelle in der Regel mit den Zahlungen der 10 bis 20 Prozent der Opfer, die freiwillig bezahlen, zufrieden geben.
Betrug in sozialen Netzwerke
Insbesondere Jugendliche sind von sozialen Netzwerken wie Facebook oder Twitter fasziniert. Mittels dieser Seiten können Sie mit ihren Freunden in Kontakt bleiben, Informationen austauschen, nach neuen Freunden suchen oder Informationen mit anderen Nutzern austauschen. Es gibt auch soziale Netzwerke für ältere Benutzer, beispielsweise um Geschäftskontakte zu knüpfen und zu pflegen, oder um nach ehemaligen Schulfreunden zu suchen.
Unabhängig von der jeweiligen sozialen Plattform lauern auch hier einige Gefahren. Stellen Sie sich vor, ein guter Freund bittet Sie um Hilfe, worauf Sie wahrscheinlich ohne zu Zögern "ja" sagen werden. Übertragen wir diese Situation nun auf ein soziales Netzwerk im Internet. Ein Freund schickt Ihnen eine Mitteilung mit der Nachricht, er sitze am Flughafen London Heathrow fest, sei ausgeraubt und mit einer Waffe bedroht worden. Er habe nun kein Geld mehr und bittet Sie, Ihnen via Western Union 400 Euro zu überweisen, um nach Hause fahren zu können. Sie zögern leicht und fragen nach, warum der Geldtransfer über Western Union laufen muss. Ihr Freund beharrt darauf, dass dies der einzige Weg für ihn sei, an das Geld zu kommen. Auf Ihre Frage, ob Sie ihn telefonisch erreichen können, sagt er Ihnen, dass ihm auch sein Mobiltelefon gestohlen wurde. Sie werden allmählich immer misstrauischer, denn Ihr Freund benimmt sich sehr eigenartig und verwendet Worte und Sätze, die Sie von ihm noch nie gehört haben. Vielleicht liegt es daran, dass er sich in einer derartigen Stresssituation befindet? Da Sie seinetwegen sehr besorgt sind und außerdem kein schlechtes Gewissen haben möchten, überweisen Sie den Betrag. Danach hören Sie nie wieder etwas von ihm.
Was hat sich nun tatsächlich abgespielt? Die beschriebene Betrugsmethode ist derzeit sehr verbreitet und äußerst effektiv, weil noch nicht so bekannt. Die Vorgehensweise bei derartigem Betrug ist dabei sehr einfach: Internetkriminelle haben sich Zugriff auf den Account Ihres Freundes verschafft und versuchen nun, dessen Kontakte für ihre illegalen Geschäfte zu missbrauchen. Wenn Sie ein soziales Netzwerk sehr häufig nutzen, haben Sie möglicherweise Hunderte von Freunden und können unmöglich überblicken, wo sich jeder einzelne Freund gerade aufhält, wodurch die ganze Geschichte glaubwürdiger wird.
Dennoch weisen in dem oben beschriebenen Fall bestimmte Zeichen eindeutig auf einen Betrugsversuch hin. Ein in London fest sitzender Europäer würde kaum einen anderen Europäer um US-Dollar bitten, und dasselbe gilt auch für die vom angeblichen Freund verwendete Sprache. Wenn Sie eine Mitteilung dieser Art erhalten, sollten Sie Ihren Freund unbedingt direkt kontaktieren. Versuchen Sie auf jeden Fall, ihn anzurufen, auch wenn er in seiner Nachricht behauptet, sein Mobiltelefon sei gestohlen worden: Sie werden angenehm überrascht sein, wenn er abnimmt und Sie sich gleichzeitig vergewissern können, dass die erhaltene Nachricht gefälscht war.
Wenn Sie Ihr(e) eigenes(n) Konten von sozialen Netzwerken vor Missbrauch dieser Art schützen möchten, sollten Sie ein paar simple Regeln befolgen. Ein möglicher Weg zum Schutz Ihrer Konten hängt mit der Hinterlegung Ihres Passworts zusammen. Bei der Registrierung für ein soziales Netzwerk kann häufig eine "Geheimfrage" beantwortet werden. Sollten Sie Ihr Passwort einmal vergessen haben, können Sie durch Beantworten der Frage ein neues Passwort generieren. Gewöhnlich kann nur zwischen drei sehr allgemein gehaltenen "Geheimfragen" ausgewählt werden, zum Beispiel der Name Ihres Haustieres. Sollten Sie diese Informationen irgendwo in Ihrem Profil oder auf Ihrer Seite angegeben haben, ist der Zugriff auf Ihren Account für Cyberkriminelle nur noch ein Kinderspiel.
Beachten Sie zur weiteren Absicherung Ihres Kontos, dass Sie die Frage jederzeit ändern und beantworten können. Achten Sie darauf, Ihre Login-Daten und Ihr Passwort für sich zu behalten. Fallen Sie auf keinen Fall auf Phishing-Angriffe herein und verwenden Sie eine aktuelle Antiviren-Lösung, damit Ihr Rechner sicher ist vor Trojanern, die möglicherweise Ihr Passwort stehlen und an Internetbetrüger weiterleiten.
Twitter – Die große Gefahr verkürzter URLs
Twitter ist seit 2006 enorm gewachsen. Mehr als 25 Millionen Nutzer möchten die Antwort auf den Twitter-Slogan "What are you doing?" wissen oder beantworten. Twitter ist ein soziales Netzwerk mit einer Besonderheit: Durch das Micro-Blogging-Format sind die Mitteilungen auf 140 Zeichen begrenzt, wodurch die Eingabe von URLs, die mehr als die Hälfte der zur Verfügung stehenden Zeichen in Anspruch nehmen würden, wesentlich erschwert wird. Hier kommen nun weniger bekannte Internetdienste ins Spiel: Sie wandeln lange, komplizierte Adressen in ein erheblich verkürztes Format um. Diese URL-Verkürzungsdienste haben aber auch Nachteile: Es ist schwierig, zu erkennen, wohin der Nutzer durch kurze und verschlüsselte Adressen tatsächlich geleitet wird, worunter letztendlich die Transparenz leidet.
Abb.: 4: Automatisch über Twitter verschickte Nachrichten mit verkürzten URLs
Internetkriminelle haben ihre Chance sofort erkannt: Sie missbrauchen die verkürzten URL-Adressen, um auf manipulierte Webseiten zu verlinken. Derartige Mitteilungen werden über Twitter automatisch verteilt und versprechen beispielsweise "die ganze Wahrheit" über sensationellen Neuigkeiten, wie das Ableben berühmter Personen (z.B. Michael Jackson). Sind keine echten Sensationen zur Hand, erfinden die Betrüger einfach selbst eine passende Geschichte – so wurde etwa auf Twitter ausgiebig über den angeblichen Tod von Britney Spears berichtet.
Mitteilungen mit weiterführenden Links zu infizierten Webseiten sind lediglich eine Weiterentwicklung von Betrugsmethoden mit E-Mail-Nachrichten, da beide im Prinzip das selbe Ziel haben: Profit aus der Neugierde der Benutzer zu schlagen. Mit dieser Art von Internetbetrug wird deutlich, dass verkürzte URLs leider nicht vertrauenswürdig sind. Zu Ihrem Schutz können Sie Add-on-Tools verwenden. So wird zum Beispiel mittels eines gängigen Plug-Ins für Firefox eine verkürzte URL in ihr Originalformat zurückkonvertiert, wenn Sie den Cursor Ihrer Maus über den Link halten. So können Sie erkennen, ob der betreffende Link zu einer seriösen Website führt oder nicht.
Filme, Spiele, Musik... und Malware
Viele "frischgebackene" Internetnutzer richten oftmals zu aller erst einen Blick auf Filme, Musik, das Fernsehprogramm oder Computerspiele, die im Internet verfügbar sind. Abgesehen von den rechtlichen Aspekten – die von anderen Autoren bereits ausführlich beleuchtet worden sind – gilt es, beim Download solcher Inhalte ein paar wichtige Punkte zu beachten. Bei der Suche nach solchen multimedialen Inhalten sind so genannte Peer-to-Peer-Netzwerke oft der vermeintlich schnellste Weg, um sich beispielsweise einen Film herunter zu laden. Dazu muss allerdings erst einmal ein Programm auf den Rechner geladen werden, mit dem man auf so ein Netzwerk zugreifen kann und das einem bei der Suche nach Musik oder Filmen behilflich ist. Die Gefahr dabei: An derartigen Dateien können auch Malware-Programme angehängt sein.
Beispielsweise sind in herunterladbaren Spielen häufig Crack-Tools eingebaut, die zur Umgehung des Kopierschutzes eingesetzt werden. Diese Tools stammen von Hackern, die entweder der Meinung sind, dass jeglicher Inhalt kostenlos verfügbar sollte oder sich in der Hackerszene Eindruck verschaffen wollen. Download-Dateien können stets mit Schadprogrammen verbunden sein, und Internetbetrüger wissen sehr gut, dass der Markt für kostenlose Inhalte riesig ist: Indem sie ihre Schadprogramme hinter gängigen Dateien verbergen oder diese an gängige Dateien anhängen, erhöhen sie die Anzahl ihrer potentiellen Opfer beträchtlich. Ein auf Bankgeschäfte ausgelegter Trojaner kann zum Beispiel in einem Spiele-Download versteckt sein. Auch wenn Jugendliche eher selten Bankgeschäfte über das Internet tätigen, gehört der Computer, auf den sie die Datei geladen haben, möglicherweise ihren Eltern, die ihr Bankkonto regelmäßig online überprüfen. Mit der beschriebenen Methode werden also meistens zwei Fliegen mit einer Klappe geschlagen.
Abb.: 5: Crack-Tools auf einer BitTorrent-Site
Das Risiko über ein Peer-to-Peer-Netzwerk Malware-Programme herunter zu laden ist also relativ hoch. Durch den illegalen Download von Spielen oder Filmen mögen Sie zwar den Kaufpreis einsparen, aber das Herunterladen eines Trojaners, der Ihre Kontodaten stiehlt, kann Sie um einiges mehr kosten, als Sie durch das kostenlose Herunterladen von Musik und Filmen eingespart haben.
Fazit
Internetbetrüger sind äußerst kreativ und passen ihre Betrugsmethoden kontinuierlich an die sich ständig weiterentwickelnden Technologien und Internet-Anwendungen an. In den meisten Fällen werden bekannte Betrugsmaschen neu aufbereitet, um damit die neuen Medien ins Visier nehmen zu können. Das beste Beispiel sind klassische Spam-Nachrichten mit einem Link zu einer manipulierten Webseite. Inzwischen haben die meisten Benutzer gelernt, niemals einen Link in einer E-Mail anzuklicken, die von einem unbekannten Absender stammt. Als dieser Trick auf die über soziale Netzwerke verschickten Mitteilungen angepasst wurde, stieg die Anzahl der Personen, die den Link anklickten, enorm an.
Noch vor einigen Jahren konnte eine gefälschte Webseite leicht anhand ihrer Gestaltung erkannt werden: zahlreiche Rechtschreibfehler, schlechtes Layout etc. Inzwischen jedoch sind die Techniken der Cyberkriminellen weitaus ausgereifter. Daher sollten Internet-Anwender über Suchmaschinen immer nach zusätzlichen Informationen recherchieren, wenn Sie einen Betrugsversuch vermuten. Denn im Falle eines Betrugs werden andere Opfer wahrscheinlich über ihre Erfahrungen im Internet berichtet haben. Auch sollten auf verdächtigen Seiten angegebenen Kontaktangaben mit anderen Quellen überprüft werden.
Verlassen Sie sich auf ihren gesunden Menschenverstand. Alles, was im Internet allzu verheißungsvoll erscheint, ist oft mit Tücken behaftet. Verlassen Sie sich immer auf Ihr Bauchgefühl, wenn Sie im Internet surfen. Mit einer gesunden Dosis Skepsis werden Sie sich weitgehend vor Tricks und Betrügereien schützen. Eine qualitativ hochwertige Sicherheitslösung in Kombination mit aktueller Software erledigt dann den Rest.